AWS politiche gestite per Amazon Bedrock - Amazon Bedrock
AmazonBedrockFullAccessAmazonBedrockReadOnlyAmazonBedrockStudioPermissionsBoundaryAggiornamenti alle policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politiche gestite per Amazon Bedrock

Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile da usare AWS politiche gestite piuttosto che scrivere politiche da soli. Ci vogliono tempo ed esperienza per creare politiche gestite dai IAM clienti che forniscano al team solo le autorizzazioni di cui ha bisogno. Per iniziare rapidamente, puoi utilizzare il nostro AWS politiche gestite. Queste politiche coprono casi d'uso comuni e sono disponibili nel Account AWS. Per ulteriori informazioni su AWS politiche gestite, vedere AWS politiche gestite nella Guida IAM per l'utente.

AWS manutenzione e aggiornamento dei servizi AWS politiche gestite. Non è possibile modificare le autorizzazioni in AWS politiche gestite. I servizi aggiungono occasionalmente autorizzazioni aggiuntive a un AWS politica gestita per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino un AWS politica gestita quando viene lanciata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da un AWS politica gestita, in modo che gli aggiornamenti delle politiche non compromettano le autorizzazioni esistenti.

Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, ReadOnlyAccess AWS la politica gestita fornisce l'accesso in sola lettura a tutti AWS servizi e risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per un elenco e le descrizioni delle politiche relative alle funzioni lavorative, vedere AWS politiche gestite per le funzioni lavorative nella Guida per IAM l'utente.

AWS politica gestita: AmazonBedrockFullAccess

Puoi allegare la AmazonBedrockFullAccess politica alle tue IAM identità.

Questa policy concede autorizzazioni amministrative che consentono all'utente di creare, leggere, aggiornare ed eliminare risorse Amazon Bedrock.

Nota

L'ottimizzazione e l'accesso al modello richiedono autorizzazioni aggiuntive. Per ulteriori informazioni, consulta Concedere l'accesso ad abbonamenti di modelli di terze parti e Autorizzazioni per accedere ai file di formazione e convalida e per scrivere file di output in S3.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • ec2(Amazon Elastic Compute Cloud): consente le autorizzazioni per descrivereVPCs, sottoreti e gruppi di sicurezza.

  • iam (AWS Identity and Access Management): consente ai responsabili di passare i ruoli, ma consente solo ai IAM ruoli con «Amazon Bedrock» di passare al servizio Amazon Bedrock. Le autorizzazioni sono limitate a bedrock.amazonaws.com per le operazioni Amazon Bedrock.

  • kms (AWS Key Management Service): consente ai responsabili di descrivere AWS KMS chiavi e alias.

  • bedrock (Amazon Bedrock): consente ai principali di accedere in lettura e scrittura a tutte le azioni nel piano di controllo (control-plane) e nel servizio di runtime di Amazon Bedrock. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "BedrockAll",
            "Effect": "Allow",
            "Action": [
                "bedrock:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DescribeKey",
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:*:kms:*:::*"
        },
        {
            "Sid": "APIsWithAllResourceAccess",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PassRoleToBedrock",
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "arn:aws:iam::*:role/*AmazonBedrock*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "bedrock.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

AWS politica gestita: AmazonBedrockReadOnly

Puoi allegare la AmazonBedrockReadOnly politica alle tue IAM identità.

Questa policy concede autorizzazioni in sola lettura che consentono agli utenti di visualizzare tutte le risorse in Amazon Bedrock.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AmazonBedrockReadOnly",
            "Effect": "Allow",
            "Action": [
                "bedrock:GetFoundationModel",
                "bedrock:ListFoundationModels",
                "bedrock:ListTagsForResource",
                "bedrock:GetFoundationModelAvailability",
                "bedrock:GetModelInvocationLoggingConfiguration",
                "bedrock:GetProvisionedModelThroughput",
                "bedrock:ListProvisionedModelThroughputs",
                "bedrock:GetModelCustomizationJob",
                "bedrock:ListModelCustomizationJobs",
                "bedrock:ListCustomModels",
                "bedrock:GetCustomModel",
                "bedrock:GetModelInvocationJob",
                "bedrock:ListModelInvocationJobs",
                "bedrock:GetGuardrail",
                "bedrock:ListGuardrails",
                "bedrock:GetEvaluationJob",
                "bedrock:ListEvaluationJobs",
                "bedrock:GetInferenceProfile",
                "bedrock:ListInferenceProfiles"
            ],
            "Resource": "*"
        }
    ]
}

AWS politica gestita: AmazonBedrockStudioPermissionsBoundary

Nota

  • Questa politica è un limite di autorizzazioni. Un limite di autorizzazioni imposta le autorizzazioni massime che una politica basata sull'identità può concedere a un principale. IAM Non devi utilizzare e allegare autonomamente le politiche sui limiti delle autorizzazioni di Amazon Bedrock Studio. Le politiche sui limiti delle autorizzazioni di Amazon Bedrock Studio devono essere allegate solo ai ruoli gestiti di Amazon Bedrock Studio. Per ulteriori informazioni sui limiti delle autorizzazioni, consulta Limiti delle autorizzazioni per le entità nella Guida per l'IAMutente. IAM

  • La versione attuale di Amazon Bedrock Studio continua a prevedere l'esistenza di una politica simile denominata AmazonDataZoneBedrockPermissionsBoundary nel tuo AWS conto. Per ulteriori informazioni, consulta Fase 2: Creare il limite delle autorizzazioni, il ruolo di servizio e il ruolo di provisioning.

Quando crei progetti, app e componenti di Amazon Bedrock Studio, Amazon Bedrock Studio applica questo limite di autorizzazioni ai IAM ruoli prodotti durante la creazione di tali risorse.

Amazon Bedrock Studio utilizza la policy AmazonBedrockStudioPermissionsBoundary gestita per limitare le autorizzazioni del IAM principale assegnato a cui è collegato. I responsabili possono assumere la forma dei ruoli utente che Amazon DataZone può assumere per conto degli utenti di Amazon Bedrock Studio e quindi condurre azioni come leggere e scrivere oggetti Amazon S3 o richiamare agenti Amazon Bedrock.

La AmazonBedrockStudioPermissionsBoundary policy concede l'accesso in lettura e scrittura per Amazon Bedrock Studio a servizi come Amazon S3, Amazon Bedrock, Amazon Serverless e OpenSearch AWS Lambda. La policy fornisce inoltre autorizzazioni di lettura e scrittura ad alcune risorse dell'infrastruttura necessarie per utilizzare questi servizi, come AWS i segreti di Secrets Manager, i gruppi di CloudWatch log Amazon e AWS KMS chiavi.

Questa politica è costituita dai seguenti set di autorizzazioni.

  • s3— Consente l'accesso in lettura e scrittura agli oggetti nei bucket Amazon S3 gestiti da Amazon Bedrock Studio.

  • bedrock— Garantisce la possibilità di utilizzare agenti, knowledge base e guardrail di Amazon Bedrock gestiti da Amazon Bedrock Studio.

  • aoss— Consente API l'accesso alle raccolte Amazon OpenSearch Serverless gestite da Amazon Bedrock Studio.

  • lambda— Garantisce la possibilità di invocare AWS Lambda funzioni gestite da Amazon Bedrock Studio.

  • secretsmanager— Consente l'accesso in lettura e scrittura ai AWS segreti di Secrets Manager gestiti da Amazon Bedrock Studio.

  • logs— Fornisce accesso in scrittura ai CloudWatch log di Amazon gestiti da Amazon Bedrock Studio.

  • kms— Garantisce l'accesso all'uso AWS chiavi per crittografare i dati di Amazon Bedrock Studio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AccessS3Buckets",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectVersion",
                "s3:DeleteObjectVersion"
            ],
            "Resource": "arn:aws:s3:::br-studio-${aws:PrincipalAccount}-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "AccessOpenSearchCollections",
            "Effect": "Allow",
            "Action": "aoss:APIAccessAll",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}"
                }
            }
        },
        {
            "Sid": "InvokeBedrockModels",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeModel",
                "bedrock:InvokeModelWithResponseStream"
            ],
            "Resource": "arn:aws:bedrock:*::foundation-model/*"
        },
        {
            "Sid": "AccessBedrockResources",
            "Effect": "Allow",
            "Action": [
                "bedrock:InvokeAgent",
                "bedrock:Retrieve",
                "bedrock:StartIngestionJob",
                "bedrock:GetIngestionJob",
                "bedrock:ListIngestionJobs",
                "bedrock:ApplyGuardrail",
                "bedrock:ListPrompts",
                "bedrock:GetPrompt",
                "bedrock:CreatePrompt",
                "bedrock:DeletePrompt",
                "bedrock:CreatePromptVersion",
                "bedrock:InvokeFlow",
                "bedrock:ListTagsForResource",
                "bedrock:TagResource",
                "bedrock:UntagResource"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/AmazonBedrockManaged": "true"
                },
                "Null": {
                    "aws:ResourceTag/AmazonDataZoneProject": "false"
                }
            }
        },
        {
            "Sid": "RetrieveAndGenerate",
            "Effect": "Allow",
            "Action": "bedrock:RetrieveAndGenerate",
            "Resource": "*"
        },
        {
            "Sid": "WriteLogs",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/lambda/br-studio-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/AmazonBedrockManaged": "true"
                },
                "Null": {
                    "aws:ResourceTag/AmazonDataZoneProject": "false"
                }
            }
        },
        {
            "Sid": "InvokeLambdaFunctions",
            "Effect": "Allow",
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:*:*:function:br-studio-*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/AmazonBedrockManaged": "true"
                },
                "Null": {
                    "aws:ResourceTag/AmazonDataZoneProject": "false"
                }
            }
        },
        {
            "Sid": "AccessSecretsManagerSecrets",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:PutSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:br-studio/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/AmazonBedrockManaged": "true"
                },
                "Null": {
                    "aws:ResourceTag/AmazonDataZoneProject": "false"
                }
            }
        },
        {
            "Sid": "UseKmsKeyWithBedrock",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/EnableBedrock": "true"
                },
                "Null": {
                    "kms:EncryptionContext:aws:bedrock:arn": "false"
                }
            }
        },
        {
            "Sid": "UseKmsKeyWithAwsServices",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "${aws:PrincipalAccount}",
                    "aws:ResourceTag/EnableBedrock": "true"
                },
                "StringLike": {
                    "kms:ViaService": [
                        "s3.*.amazonaws.com",
                        "secretsmanager.*.amazonaws.com"
                    ]
                }
            }
        }
    ]
}

Amazon Bedrock si aggiorna a AWS policy gestite

Visualizza i dettagli sugli aggiornamenti di AWS politiche gestite per Amazon Bedrock da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed su. Cronologia dei documenti per la Guida per l'utente di Amazon Bedrock

Modifica Descrizione Data

AmazonBedrockReadOnly— Politica aggiornata

Amazon Bedrock ha aggiunto le autorizzazioni di sola lettura del profilo di inferenza.

 27 agosto 2024

AmazonBedrockReadOnly— Politica aggiornata

Amazon Bedrock ha aggiornato la AmazonBedrockReadOnly policy per includere autorizzazioni di sola lettura per Amazon Bedrock Guardrails, la valutazione del modello Amazon Bedrock e l'inferenza di Amazon Bedrock Batch.

 21 agosto 2024

AmazonBedrockReadOnly— Politica aggiornata

Amazon Bedrock ha aggiunto le autorizzazioni di sola lettura per l'inferenza in batch (model invocation job).

 21 agosto 2024

AmazonBedrockStudioPermissionsBoundary: nuova policy

Amazon Bedrock ha pubblicato la prima versione di questa politica.

 31 luglio 2024

AmazonBedrockFullAccess: nuova policy

Amazon Bedrock ha aggiunto una nuova policy per concedere agli utenti le autorizzazioni per creare, leggere, aggiornare ed eliminare risorse.

 12 dicembre 2023

AmazonBedrockReadOnly: nuova policy

Amazon Bedrock ha aggiunto una nuova policy per fornire agli utenti autorizzazioni in sola lettura per tutte le operazioni.

 12 dicembre 2023

Amazon Bedrock ha cominciato a tenere traccia delle modifiche

Amazon Bedrock ha iniziato a tracciare le modifiche per il suo AWS politiche gestite.

 12 dicembre 2023